Configurer le garde-corps de refus de la région - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer le garde-corps de refus de la région

Le garde-corps Region Deny est unique, car il s'applique à la landing zone dans son ensemble, plutôt qu'à une UO spécifique. Pour configurer le garde-corps de refus de la région, accédez à laParamètres de zone d'atterrissagepage et sélectionnezModification des paramètres.

  • Ce paramètre peut être modifié ultérieurement.

  • Lorsqu'il est activé, ce garde-corps s'applique à toutes les unités d'organisation enregistrées.

  • Cette barrière de sécurité ne peut pas être configurée pour des unités d'organisation individuelles.

Note

Avant d'activer le garde-corps Refuser les régions, assurez-vous que vous ne disposez pas de ressources existantes dans ces régions, car vous n'aurez plus accès à vos ressources une fois que vous aurez appliqué le garde-corps. Tant que le barrières de sécurité est activé, vous ne pouvez pas déployer de ressources dans les régions refusées.

La Région refuse le garde-corps interdit l'accès àAWSservices, en fonction de la configuration de votre région AWS Control Tower. Il refuse l'accès àAWSRégions avec statutNon régies. Le garde-corps de refus de région refuse également l'accès aux régions dans lesquelles AWS Control Tower n'est pas disponible. Vous ne pouvez pas refuser l'accès à votre région d'origine. Certains marchés globauxAWSdes services, tels que IAM etAWS Organizations, sont exemptés du garde-corps de refus de la Région. Pour en savoir plus, veuillez consulter la section Refuser l'accès àAWSsur la base de la demandeAWSRégion.

Lorsque vous activez le garde-corps, il s'applique à toutes les unités d'organisation de premier niveau enregistrées de votre hiérarchie, et il est hérité par les unités d'organisation inférieures dans la chaîne. Lorsque vous supprimez le garde-corps, il est supprimé de toutes les unités d'organisation enregistrées, toutes les régions non gouvernées d'AWS Control Tower restent dans unNon régies, et vous pouvez déployer des ressources dans des régions en dehors de la disponibilité d'AWS Control Tower.

  • Nom complet du garde-corps : Refuser l'accès àAWSsur la base de la demandeAWSRegion (Région)

  • Description des barrières de sécurité : Interdit l'accès aux opérations non répertoriées dans les services globaux et régionaux en dehors des régions spécifiées.

  • Il s'agit d'un garde-corps électif avec des conseils préventifs.

Pour afficher le modèle du SCP Region deny guardrail, voirRefuser l'accès àAWSsur la base de la demandeAWSRégiondans leAWS Control Tower de référence. Le SCP de la AWS Control Tower est similaire àle SCP pourAWS Organizations, mais pas identiques.

Vous pouvez déterminer les points de terminaison de service régionaux sur lePage des services régionaux.